Žalia „Spynos“ piktograma URL juostoje nebėra simbolis, kuriuo galite pasitikėti
Metų metus jums nuolat buvo liepta neįvesti asmeninės informacijos į svetainę, kurios adreso juostoje nėra žalios spynos. Kai kurie iš jūsų klausėsi šio patarimo, o kiti - ne, bet ar kada susimąstėte, ką reiškia ši žalia spynelė ir kaip ji veikia?
Nors naršyklės, tokios kaip „Google Chrome“, lėtai palaipsniui ją nutraukia (kurios priežastys paaiškės per minutę), žalia pakabinama spintelė vis dar visuotinai pripažįstama kaip ženklas, kad jūsų žiūrima svetainė turi SSL sertifikatą ir yra įkelta per HTTPS. Tai, savo ruožtu, reiškia, kad visa informacija, gaunama iš ir einant į svetainę, yra užšifruota ir yra saugi nuo „Man-in-the-Middle“ atakų.
Dieną ekspertai turėjo dar vieną priežastį perspėti, kad neįvestumėte savo duomenų į svetaines, kurios nebuvo įkeltos per HTTPS. SSL sertifikatus išduoda sertifikatų tarnybos (CA), kurios už tai imdavo kelis šimtus dolerių per metus. Spėjama, kad sukčiai nebuvo pasirengę išgryninti tokio tipo pinigus, kad jų sukčiavimo puslapiai atrodytų panašesni į tikrąjį dalyką, ir net jei jie ir būtų buvę, jie nebūtų išlaikę kai kurių tais laikais atliktų rankinių patikrinimų.. Kitaip tariant, tikrosios „Amazon“ prisijungimo formos turėjo žalius spynos, o netikros - ne. Deja, taip nėra.
Table of Contents
Nemokamų SSL sertifikatų atsiradimas ir jų įtaka internete
Deja, sukčiai nebuvo vieninteliai, kurie nesugebėjo nukreipti savo svetainių per HTTPS. SSL sertifikatai taip pat buvo per brangūs daugeliui teisėtų svetainių savininkų, o tai reiškė, kad nemažai internetinių parduotuvių savo klientų duomenis paviešino. Kažką reikėjo padaryti.
2014 m. Buvo įsteigta nauja CA pavadinimu „Encrypt“, kuri pradėjo nemokamai siūlyti SSL sertifikatus. Internetas idėjai patiko.
„Let's Encrypt“ oficialiai išėjo iš „Beta“ 2016 m. Balandžio mėn., Kai išdidžiai paskelbė, kad jos išduotų pažymėjimų skaičius siekia apie 1,7 milijono. Vos po keturiolikos mėnesių buvo daugiau nei 100 milijonų „Encrypt“ sertifikatų.
Nemokamus SSL sertifikatus dabar siūlo ir kitos CA, todėl HTTPS tampa norma, o ne išimtimi. Saugumo specialistas Scottas Helme'as rugpjūtį teigė, kad pirmą kartą daugiau nei pusė „Alexa Top 1 Million“ svetainių buvo pakrautos naudojant HTTPS. Šis pokytis paskatino naršyklės pardavėjai griovys žalią užrakto piktogramą ir pakeisti jį su didesniu "Ne-Secure" ženklu, kai puslapis yra neįdėtas pagal HTTPS. Iš tikrųjų spynos niekur nėra tokios naudingos kaip anksčiau.
Beveik 50% visų sukčiavimo puslapių dabar įkelta per HTTPS
Nemokamų SSL sertifikatų atsiradimas yra vienas iš gerų dalykų, neseniai nutikusių pasauliui. Nors tai nėra panacėja, jie leido mažesniems internetiniams tiekėjams ne tik išgyventi, bet ir klestėti. Šiuo metu net paprasčiausioms HTML svetainėms nėra pasiteisinimo, kad jie galėtų naudotis HTTP.
Deja, jei SSL sertifikatai yra nemokami ir juos lengva nustatyti teisėtiems svetainių savininkams, jie yra nemokami ir lengvai nustatomi ir sukčiams. Iš tikrųjų „PhishLabs“, grėsmės žvalgybos ir jos mažinimo įmonė, Brianui Krebsui sakė, kad labai beveik pusė (apie 49%) visų sukčiavimo apsimetant puslapių, kuriuos ji aptiko trečiąjį šių metų ketvirtį, buvo įkelta per HTTPS. „PhishLabs“ teigė, kad tai padidėjo nuo 35 proc. Per antrąjį ketvirtį ir 33 proc. Per pirmąjį ketvirtį.
Sukčiai aktyviai kuria SSL sertifikatus savo sukčiavimo puslapiuose iš dalies todėl, kad tai lengva padaryti ir nieko nekainuoja, o iš dalies dėl pakeitimų, kuriuos įgyvendina naršyklių pardavėjai. Jie supranta, kad vartotojai daug rečiau atiduos savo asmeninę informaciją svetainei, įkeltai po matomu įspėjimu „Nesaugi“.
Ką mes galime su tuo padaryti?
Ar tai reiškia, kad naršyklių pardavėjų sprendimas atsisakyti žaliosios spynos yra didžiulė klaida? Ne, taip nėra. Paprasčiausias faktas yra tas, kad užrakto piktograma niekada nebus tokia naudinga, kaip anksčiau. Jei jis liks, tai neturės jokios įtakos dabartinei situacijai, nes jei sukčiai nuspręs, kad jiems to reikia, jie tiesiog gaus nemokamą SSL sertifikatą.
Tuomet neturėtume atsikratyti nemokamų SSL sertifikatų? Ne, neturėtume. Jei pardavėjams nesuteikiama galimybė nemokamai apsaugoti savo klientų duomenis, tai bus didžiulis šuolis atgal ir kils grėsmė milijonams žmonių asmeninės informacijos. Vietoj to turime išmokyti kuo daugiau vartotojų, kas yra HTTPS.
HTTPS nėra patikimumo rodiklis. Jei jo nėra, galite būti tikri, kad svetaine, kuria žiūrite, neturėtų būti patikimi, tačiau net jei joje yra, galbūt vis tiek ieškosite apgaulės. Yra ir kitų veiksnių, į kuriuos turėtumėte atkreipti daugiau dėmesio.
